Mac/Windows Server 2003 への接続
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
RIGHT:[[Mac 関係覚え書き]]
*Windows Server 2003 ドメインへの参加 [#lcd4ca7a]
Mac OS X v10.4.1 Tiger Server を Windows Server 2003 の
ドメインに参加させる.
これは,ユーティリティの「ディレクトリアクセス」で行う.
Tiger から ActiveDirectory への参加がかなり改善された.
かなり簡単にドメイン参加できることに加えて,
選択項目が増え細かな設定ができる.
**ディレクトリアクセスでの設定 [#w00d6762]
まず,システム環境設定の「ネットワーク」にて resolver の
設定を Active Directory の DC に向ける.
ここから,ディレクトリアクセスでの設定.
「Active Directory」を選択し「設定」を選択.
「Active Directory のフォレスト」は自動ではいるのでそのま...
「Active Directory のドメイン」にフルドメイン(ad.example....
入力する.
で,「バインド」.
バインドがうまくいけば,詳細オプションを表示させて
細かな設定をする
必要なのは...
「ユーザ管理」タブ
-「ローカルホームディレクトリを起動ディスクに設定する」か...
--チェックを入れると,Windows のホームがネットワークドラ...
自動的にマウントされた状態となる.
Mac のホームはその Mac 自身に作られる.
Mac Shield と併用しているような場合はいいかも.
また,ssh でリモートログインする場合など,
ホームディレクトリが AFP/SMB になっていると
ログイン時マウントされずホームディレクトリなしとなるので,
こちらにしておいた方がいいと思う.
--チェックを入れないと,Windows のホームが Mac のホームと...
使われる.
-「Active Directory からの UNC パスを使用してネットワーク...
を設定する」をチェック
「マッピング」タブ
-「UID を次の属性にマップ」にチェックを入れると
すべて nobody になる(?)
->AD のスキーマをまともに拡張していないからかな?
ユーザマッピングは,AD の GID を元に自動的に割り振られる.
割り振られ方は一意なので,別の Mac からもおなじ GID が
振られるので,あまり心配しなくてもいいみたい.
「OK」で元の画面に戻った後,
「認証」タブ,「コンタクト」タブで
「/Active Directory/All Domains」が
カスタムパスリストにあることを確認して,
「サービス」タブの「Active Directory」のチェックを入れる.
このあと,「サーバ管理」の「オープンディレクトリ」にて,
「設定」→「一般」をクリック.
んで,「ディレクトリシステムに接続」を選択.
「kerberos へ接続」をクリックして,必要な項目
(管理者のアカウント/パスワード)をいれる.
これは,最初のみで,2回目以降はなぜかうまくいかない.
とりあえず,
/Library/Preferences/edu.mit.Kerberos
が
[libdefaults]
default_realm = AD.EXAMPLE.COM
dns_fallback = no
[realms]
AD.EXAMPLE.COM = {
kdc = server.ad.example.com.:88
admin_server = server.ad.example.com.
}
といった感じになっていればいい.
kinit にてパスワードを入れた時にエラーが出なければ O.K. ...
$ kinit hoge@AD.EXAMPLE.COM
Please enter the password for hoge@AD.EXAMPLE.COM:
$
***AD ユーザ [#e578a308]
ちなみに,ターミナルでユーザの ID をみると以下のような感...
tigersrv:~ admin$ id administrator
uid=1324756764(administrator) gid=1578932953(AD\domain u...
groups=1578932953(AD\domain users), 940858238(AD\passwor...
1023958751(AD\enterprise admins), 936501334(AD\domain ad...
2117389952(AD\schema admins), 1927952868(AD\group policy...
tigersrv:~ admin$ id hoge
uid=295455378(hoge) gid=1578932953(AD\domain users) grou...
940858238(AD\passwordpropdeny), 1392985649(AD\administra...
tigersrv:~ admin$ id aaaa
uid=1684723855(aaaa) gid=1578932953(AD\domain users) gro...
***LDAP クライアントとして AD を検索 [#oead8e00]
tigersrv:~ admin$ ldapsearch -h ldap.example.com -x -D ...
-W -b 'dc=example,dc=com'
**ファイルサーバ [#kf992863]
ちなみに,この場合で Mac OS X Server を CIFS のサーバと
する場合は,サーバ管理の「Windows」にて新たにドメインに
メンバとして参加する必要はない.
(スタンドアロンサーバのままでいい)
ユーザのホームとする場合,
AD 側の GUI でユーザ登録する際にホームを作成しようとする...
アクセス権の問題で不可となる.
このため,ユーザのホームディレクトリだけは,別途作ってや...
**グループ管理 [#dc468fe3]
OpenDirectory 環境が別途あるのであれば,
OpenDirectory 側でグループを作ってやる.
で,AD, OD 両方にバインドした Mac で
ワークグループマネージャをたちあげる
(*)OD サーバは AD にはバインドさせない方がいい.
なので,管理用の Mac を用意し,AD, OD 両方にバインドさせて
運用するのがいいかと思う.
(**)ディレクトリアクセスの LDAP 設定画面で
OD に対するセキュリティ設定において,
-クリア・テキスト・パスワードを使用不可にする
-すべてのパッケットをデジタル署名する
-すべてのパケットを暗号化
などの項目を調整(ゆるめる)しないと OD に接続できないかも
知れない.
うまくいかないときは,/var/log/system.log にアクセスのロ...
でるのでそれを参考に調整する.
で,ワークグループマネージャで OD のグループを表示させ,
メニューの「サーバ」->「ディレクトリを表示」を選択し,
もう一枚表示させる.
この時,「サーバのディレクトリノードではありません」という
メッセージが出るが,OK を押して進める.
すると,この画面は,AD の内容が表示される.
そして,OD のグループ管理画面で,
AD の画面からメンバをドラッグアンドドロップで
OD のメンバに加えてやる.
こうすることで,OD のグループとして,AD のユーザを管理す...
//-------------------------------------------------------...
*Windows Server 2003 ドメインの操作 [#c41fc919]
Windows Server 2003 ドメインへ参加した状態で
ワークグループマネージャをを起動し,
上部のディレクトリ選択で Active Directory を選択する.
で,右上の鍵マークをクリックするとダイアログが出るので,
Administrator のパスワードを入れて認証を通すと
ユーザなどの情報を操作することができる.
ただし,デフォルトのままでは,AD の LDAP スキーマにある
情報のみ操作できるので,メールに関する設定などは,
一瞬変更できたかに見えるが,設定が保存できない.
終了行:
RIGHT:[[Mac 関係覚え書き]]
*Windows Server 2003 ドメインへの参加 [#lcd4ca7a]
Mac OS X v10.4.1 Tiger Server を Windows Server 2003 の
ドメインに参加させる.
これは,ユーティリティの「ディレクトリアクセス」で行う.
Tiger から ActiveDirectory への参加がかなり改善された.
かなり簡単にドメイン参加できることに加えて,
選択項目が増え細かな設定ができる.
**ディレクトリアクセスでの設定 [#w00d6762]
まず,システム環境設定の「ネットワーク」にて resolver の
設定を Active Directory の DC に向ける.
ここから,ディレクトリアクセスでの設定.
「Active Directory」を選択し「設定」を選択.
「Active Directory のフォレスト」は自動ではいるのでそのま...
「Active Directory のドメイン」にフルドメイン(ad.example....
入力する.
で,「バインド」.
バインドがうまくいけば,詳細オプションを表示させて
細かな設定をする
必要なのは...
「ユーザ管理」タブ
-「ローカルホームディレクトリを起動ディスクに設定する」か...
--チェックを入れると,Windows のホームがネットワークドラ...
自動的にマウントされた状態となる.
Mac のホームはその Mac 自身に作られる.
Mac Shield と併用しているような場合はいいかも.
また,ssh でリモートログインする場合など,
ホームディレクトリが AFP/SMB になっていると
ログイン時マウントされずホームディレクトリなしとなるので,
こちらにしておいた方がいいと思う.
--チェックを入れないと,Windows のホームが Mac のホームと...
使われる.
-「Active Directory からの UNC パスを使用してネットワーク...
を設定する」をチェック
「マッピング」タブ
-「UID を次の属性にマップ」にチェックを入れると
すべて nobody になる(?)
->AD のスキーマをまともに拡張していないからかな?
ユーザマッピングは,AD の GID を元に自動的に割り振られる.
割り振られ方は一意なので,別の Mac からもおなじ GID が
振られるので,あまり心配しなくてもいいみたい.
「OK」で元の画面に戻った後,
「認証」タブ,「コンタクト」タブで
「/Active Directory/All Domains」が
カスタムパスリストにあることを確認して,
「サービス」タブの「Active Directory」のチェックを入れる.
このあと,「サーバ管理」の「オープンディレクトリ」にて,
「設定」→「一般」をクリック.
んで,「ディレクトリシステムに接続」を選択.
「kerberos へ接続」をクリックして,必要な項目
(管理者のアカウント/パスワード)をいれる.
これは,最初のみで,2回目以降はなぜかうまくいかない.
とりあえず,
/Library/Preferences/edu.mit.Kerberos
が
[libdefaults]
default_realm = AD.EXAMPLE.COM
dns_fallback = no
[realms]
AD.EXAMPLE.COM = {
kdc = server.ad.example.com.:88
admin_server = server.ad.example.com.
}
といった感じになっていればいい.
kinit にてパスワードを入れた時にエラーが出なければ O.K. ...
$ kinit hoge@AD.EXAMPLE.COM
Please enter the password for hoge@AD.EXAMPLE.COM:
$
***AD ユーザ [#e578a308]
ちなみに,ターミナルでユーザの ID をみると以下のような感...
tigersrv:~ admin$ id administrator
uid=1324756764(administrator) gid=1578932953(AD\domain u...
groups=1578932953(AD\domain users), 940858238(AD\passwor...
1023958751(AD\enterprise admins), 936501334(AD\domain ad...
2117389952(AD\schema admins), 1927952868(AD\group policy...
tigersrv:~ admin$ id hoge
uid=295455378(hoge) gid=1578932953(AD\domain users) grou...
940858238(AD\passwordpropdeny), 1392985649(AD\administra...
tigersrv:~ admin$ id aaaa
uid=1684723855(aaaa) gid=1578932953(AD\domain users) gro...
***LDAP クライアントとして AD を検索 [#oead8e00]
tigersrv:~ admin$ ldapsearch -h ldap.example.com -x -D ...
-W -b 'dc=example,dc=com'
**ファイルサーバ [#kf992863]
ちなみに,この場合で Mac OS X Server を CIFS のサーバと
する場合は,サーバ管理の「Windows」にて新たにドメインに
メンバとして参加する必要はない.
(スタンドアロンサーバのままでいい)
ユーザのホームとする場合,
AD 側の GUI でユーザ登録する際にホームを作成しようとする...
アクセス権の問題で不可となる.
このため,ユーザのホームディレクトリだけは,別途作ってや...
**グループ管理 [#dc468fe3]
OpenDirectory 環境が別途あるのであれば,
OpenDirectory 側でグループを作ってやる.
で,AD, OD 両方にバインドした Mac で
ワークグループマネージャをたちあげる
(*)OD サーバは AD にはバインドさせない方がいい.
なので,管理用の Mac を用意し,AD, OD 両方にバインドさせて
運用するのがいいかと思う.
(**)ディレクトリアクセスの LDAP 設定画面で
OD に対するセキュリティ設定において,
-クリア・テキスト・パスワードを使用不可にする
-すべてのパッケットをデジタル署名する
-すべてのパケットを暗号化
などの項目を調整(ゆるめる)しないと OD に接続できないかも
知れない.
うまくいかないときは,/var/log/system.log にアクセスのロ...
でるのでそれを参考に調整する.
で,ワークグループマネージャで OD のグループを表示させ,
メニューの「サーバ」->「ディレクトリを表示」を選択し,
もう一枚表示させる.
この時,「サーバのディレクトリノードではありません」という
メッセージが出るが,OK を押して進める.
すると,この画面は,AD の内容が表示される.
そして,OD のグループ管理画面で,
AD の画面からメンバをドラッグアンドドロップで
OD のメンバに加えてやる.
こうすることで,OD のグループとして,AD のユーザを管理す...
//-------------------------------------------------------...
*Windows Server 2003 ドメインの操作 [#c41fc919]
Windows Server 2003 ドメインへ参加した状態で
ワークグループマネージャをを起動し,
上部のディレクトリ選択で Active Directory を選択する.
で,右上の鍵マークをクリックするとダイアログが出るので,
Administrator のパスワードを入れて認証を通すと
ユーザなどの情報を操作することができる.
ただし,デフォルトのままでは,AD の LDAP スキーマにある
情報のみ操作できるので,メールに関する設定などは,
一瞬変更できたかに見えるが,設定が保存できない.
ページ名: